catch-img

個人情報 管理対策の実践


目次[非表示]

  1. 1.はじめに
    1. 1.1.キャンペーンでの個人情報って?
  2. 2.個人情報保護のために必要なルール
    1. 2.1.①「取得・利用」に関するルール
    2. 2.2.②「保管」に関するルール
    3. 2.3.③「転送」に関するルール
  3. 3.大切なお客様情報、廃棄まで気を抜かない!
  4. 4.さいごに

はじめに

どうも、キャンパケスタッフの藤岡です。

スタッフブログも第3回、今回はキャンペーン事務局運営にあたって、

お客様からお預かりする「個人情報の管理」について、ご紹介します。

ちょっとお堅いテーマで、若干漢字多め…で恐縮ですが、

キャンペーン事務局と個人情報は、切っても切り離せない重要な関係ですので、

是非ご参考にしていただければ幸いです。



キャンペーンでの個人情報って?

年々その関心と保護意識が高まっている個人情報。

個人情報を事細かく解説すれば、個人情報保護法、条項、ガイドライン等々…、

てんこ盛りで壮大な論文みたく、すごく食べづらいコラムに仕上がるので(正直読むのが苦)、

今回はあくまで“キャンペーンで取得する個人情報と、

管理対策のポイント”に焦点を当ててご紹介します。


まず、キャンペーンで取得する個人情報にはどのようなものがあるでしょうか。

巷で目にする応募ハガキやWebフォームにある記入内容は、主に以下のような項目かと思います。


《キャンペーン応募時の主な記入項目》

・郵便番号

・住所

・氏名

・年齢

・性別

・メールアドレス

・会員番号


個人情報保護法では、個人情報を以下のように定義しています。



先に挙げた応募情報たちは、まさに上記で言うところの「特定の個人を識別」できるものです。

また、ポイントサービス等で発行された会員番号は、

会員番号と登録情報(氏名、住所、電話番号等)がデータベースで管理され、

個人を特定できる場合には、個人情報として取り扱う必要があります。


個人情報保護のために必要なルール

では、取得した個人情報を適切に保護するために、どのようなルールが必要なのでしょうか。

主なものをご紹介します。


①「取得・利用」に関するルール

キャンペーンで個人情報を取得するにあたって、

まず気を付けないといけないのは、利用目的を応募者本人に通知または公表することです。

お客様の重要な情報を何に使うのか、を明確に伝えておく必要があるのです。

例えば、告知ツールとなる応募ハガキやWebサイト(またはWebフォーム)には、

注意書きとして、


例)


といった、お客様と利用目的を約束する一文が必要です。

また、これを明示することは、約束した目的以外には使用しない、という事でもあります。


前述の例のように公表しておきながら、取得した個人情報を用いて、

商品宣伝のメルマガを送る、郵送で新商品のサンプルを送る等の行為はNGなのでご注意を。

仮に、予め通知・公表した利用目的以外の用途で個人情報を使用する場合には、

改めてお客様に通知または公表する必要があります。


②「保管」に関するルール

個人情報を取得した後は、当然ながら情報漏洩が生じないように管理する必要があります。

キャンペーンの実施からクロージングまで、

事故なく安全に事務局運営を行うためには、ここが最も肝心です。


万が一、情報漏洩した場合には、社会的信用が失墜、企業経営をも脅かされて…、

そのダメージは想像に難くありません。

そうならないために施すべき措置としては、例えば以下のような事が挙げられます。


●個人情報の管理責任者を立てる

●紙類、記憶媒体(CDR等)は鍵付きのロッカーで保管する

 ・持ち出し日時/氏名を記録し、追跡可能な証跡を残す

 ・個人情報を取り扱う執務室への入退室自体を制限、管理する

●個人情報の利用者(従業員)に対して、十分な教育・監督を行う

 ・守秘義務について告知し、誓約書を取り交わす

    ・取り扱い手順を作成し、遵守させる

●利用者を限定する

 ・電子ファイルにパスワードを設定し、利用者のみに告知する

  (従事者以外が電子ファイルを見られないようにする)

 ・管理サーバのアクセスログを記録する

●PC、サーバにウィルス対策ソフトを入れる


上記は一例ですが、安全に情報を管理するには、モノ(機器)に講じる対策はもちろんのこと、

実際に情報を取り扱うヒトへの教育、訓練、手順化といった仕組み作りが重要です。

また、考えたくはないですが、情報漏洩、紛失等が発生した場合に備えて、

予め緊急時の対応手順、具体的な指揮・連絡体制を構築しておく必要もあります。


因みに、個人情報に係る業務を外部委託する場合には、

プライバシーマークやISMS(ISO27001)の第三者認証を取得している企業を選定し、

かつ実態的に適切なルールと運営体制があるかを、十分に確認することをおすすめします。


③「転送」に関するルール

業務進行上、保管する個人情報を第三者(社外)に渡す場面もあり得ますよね。

例えば、収集した応募データで抽選をして、

当選者の郵便番号、住所、氏名等を賞品発送業者に提供する、等がそのケースです。

個人情報の受け渡しに際しては、以下のような対応が得策です。


●外部記録媒体に暗号化したデータを格納し、集荷~配達完了までが

 トレース可能な配送業者のセキュリティ便を利用する


●いつ、だれが、だれに、何を、どのようにして、といった授受の証跡を記録する


物理的移送のほかには、クラウド型のストレージサービスの利用が挙げられますが、

誤送信防止や自動暗号化などの機能を十分に確認した上で、

利用サービスを選定する必要があります。

尚、メールでの引き渡しは、誤送信のリスクが残るため避けましょう


大切なお客様情報、廃棄まで気を抜かない!

個人情報に利用目的を果たし、キャンペーンが終了した後には最後の仕上げ、廃棄です。

主な廃棄方法として以下が挙げられます。


●応募ハガキ等の紙媒体… シュレッダーで破砕、その後溶解処理

●CDR等の記録媒体… シュレッダーで破砕

●電子ファイル… データ抹消専用ソフトでの抹消


紙媒体の廃棄証明書、データの抹消証明書等のエビデンスは必ず残しましょう。

各証明書には、廃棄対象の内容・数量(容量)、実行日時、実施担当者等を記し、

廃棄現場の風景写真があれば尚良いでしょう。


エビデンスは、

「お客様からお預かりした個人情報の一切を廃棄し、残留していない」ことの証拠であり、

万が一の開示請求にも対応できるように一定期間保管しましょう。


さいごに

個人情報の管理で重要なのは、ヒト・モノにおけるセキュリティ対策はもとより、

運用においては、

いつ、どこで、誰が、何のために、どのように利用したか、という

トレーサビリティ(追跡可能性)を担保する事が大切です。

これを確実に実施、記録することで、適切な取り扱いを可視化できますし、

トラブルが生じた時にも原因究明、あるいはリカバリーの範囲を限定でき、

早期の対応が可能となります。



といったお悩みがあれば、ぜひお声がけください!

当社ではISO27001(ISMS:情報セキュリティマネジメントシステム)の

登録認証を取得し、お預かりした個人情報を管理しています。

これまで13年間、多数のキャンペーン事務局を運営代行して、事故は0件!

セキュアな運営体制で、キャンペーン業務をご支援します。